Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Beheerder verliest controle over cluster Tor-exitnodes - update

Een beheerder van een cluster van Tor-exitnodes en een groot aantal mirrors heeft de controle over de systemen verloren en zijn account is opgeheven. In ieder geval een deel van de servers staat bij de Nederlandse hostingprovider Snel.

In de nacht van zondag op maandag waarschuwde Thomas White dat hij het beheer over de exitnodes was kwijtgeraakt en dat gebruikers zijn diensten en mirrors niet meer moesten gebruiken. Vlak voor hij de verbinding verloor, was er een usb-apparaat in de systemen gestoken, zo constateerde hij. "Uit ervaring weet ik dat dit soort activiteit vergelijkbaar is met die van de politie als die servers in beslag nemen en doorzoeken", aldus White.

Bij latere updates nuanceerde hij dat beeld door er op te wijzen dat er geen directe aanwijzingen zijn dat de servers in handen zijn van de politie. Verder benadrukt de beheerder dat de systemen inmiddels op de zwarte lijst staan en dat er geen gebruikersgegevens op de betreffende systemen staan. De hostingprovider van de systemen is de in Schiedam gevestigde aanbieder Snel, die diensten aanbiedt onder de naam SnelServer. Het hostingbedrijf ontkent dat er usb-apparaten in de systemen zijn gestoken of dat er systemen in beslag zijn genomen.

Waarom en hoe hij de controle is verloren, weet White niet. Zaterdag waarschuwde Tor-ontwikkelaar Roger Dingledine dat er aanwijzingen zijn dat het Tor-netwerk een aanval te verduren zou krijgen. Daarbij zouden mogelijk directory authorities, belangrijke schakels in het Tor-netwerk, in beslag genomen worden. Verdere details over de mogelijke aanvallen gaf Dingledine niet.

Update, 10.50: De hostingpartij Snel laat aan Tweakers weten dat het blokkeren van het account van de beheerder een gevolg was van het beveiligingsbeleid van het bedrijf. De klant zou een termijn voor verificatie per abuis hebben laten verstrijken en daarna ingelogd hebben met een kvm. "Bepaalde kvm's maken bij het benaderen van de poorten een usb-event aan, dat is wat de klant geconstateerd heeft", aldus Snel. Inmiddels is het account van de man weer vrijgegeven.

Door Olaf van Miltenburg

Nieuwscoördinator

22-12-2014 • 08:00

98 Linkedin Google+

Submitter: flux_w42

Reacties (98)

Wijzig sortering
***Een beheerder van een cluster van Tor-exitnodes en een groot aantal mirrors heeft de controle over de systemen verloren en zijn account is opgeheven***

Ik heb er niet veel verstand van, maar hoe kan een beheerder de controle over de systemen kwijt raken? De beheerder is de main admin en kan alles wat dmv een hack of virus is veranderd weer corrigeren toch? Snap ook niet echt wat een cluster precies doet (even wikipedia'en).
Als de servers zijn uitgeschakeld (of in ieder geval zijn besturings systeem draait niet meer/heeft geen internet toegang) dan is het niet meer mogelijk om nog verbinding te maken met de server, de beheerder zal dan fysiek toegang moeten hebben tot de server om dit te corrigeren.

[Reactie gewijzigd door Azerion op 22 december 2014 08:46]

Ja, maar ze waren nog wel online. Waarom zou hij anders waarschuwen zijn diensten niet meer te gebruiken.
Er zijn honderden redenen waardoor je de controle over je server kan verliezen, het kan ook zijn dat ze de wachtwoorden van de users hebben aangepast en zijn VPN verbinding instellingen hebben aangepast zodat hij niet meer kan connecten.
Geen honderden redenen. Normale redenen zouden zijn: Geen stroom, geen verbinding, of gewijzigde beveiliging.

In het geval van geen stroom dan zou de provider dit ook gewoon bekend moeten maken. Anders zou zij in gebreke zijn.

In het geval van verbinding kan er wel meerdere dingen aan de hand zijn, bijvoorbeeld routering, load balancing of een probleem in de primaire route of de software van het OS. In dat geval zou het redundant (kunnen) moeten zijn. Er is bijna nooit maar 1 server waar je vanaf buiten af bij kan in een cluster.

Gewijzigde beveiliging ben je meestal als admin wel van op de hoogte. Hangt er een beetje vanaf hoe het op infrastructuur niveau is ingeregeld, maar als je een cluster servers huurt dan ben je (meestal) niet de eerste de beste noob die zichzelf buitensluit.

Aangezien zijn bron bericht ook allerlei zeer goed beveiligde (betaalde) diensten aangeeft kun je er dus vanuit gaan dat er meer aan de hand is.

Zijn andere mirrors zijn nog up, dus je kan er zelfs vanuit gaan dat het niet om zijn eigen dienst gaat, maar om een (groep) gebruiker(s) van zijn dienst.
De systemen staan in een serverpark, dat is bij een hostingprovider niet bij de beheerder zelf thuis. Je kunt de controle verliezen als de hostingprovider iets veranderd omdat die fysiek toegang heeft, die kan bijvoorbeeld stekkers uit de machines trekken. Maar als een ander fysiek toegang krijgt kan dit dus ook. En dat lijkt momenteel dus gebeurt te zijn.
als iemand anders fysiek toegang kan krijgen is het heel gemakkelijk, gewoon tcp kabel eruit
Een TCP kabel? Sinds wanneer zit TCP op de phyiscal layer?
ethernet/lan/patch/whatever kabel
Dit toont deels het zwakke punt aan klassieke infra. Als er een manier zou zijn om het grootste deel van TOR p2p te maken zouden servers enkel nodig zijn voor het hosten van services zoals websites. Bitcoin heeft dat naar mijn idee beter opgelost, iedereen kan een node worden en connecties van iedereen ontvangen.

Een nadeel van dat is dan weer dat je een drempel gaat opwerpen voor users en dat het verdacht wordt om puur de software te draaien. Ik ben erg benieuwd hoe 'het internet' dit gaat oplossen :)
Het woordje KAN zit hier wel in de weg. Bij dergelijke systemen MOET iedereen een node worden. En zal je alles p2p moeten doen, met een zoek algoritme.

Liefst ook nog met SSL of een andere encryptie.

Wanneer het node worden vrijblijvend is kunnen mensen dat ook uit zetten.
Dit is precies waar het Tribler team mee bezig is.
SnelServer, aka het oude ServerFFS. |:( |:(

Wel vreemd dat zijn servers zonder een bericht zo maar zijn afgekoppeld en zijn account is geblokkeerd.
Da's wel echt tijden geleden inmiddels, van die partij is niets meer overgebleven.

De servers zijn niet afgekoppeld. Waarschijnlijk is er een automatisch mechanisme in werking gegaan waardoor de netwerkpoort richting de servers is uitgezet (bijvoorbeeld door verlopen abuse reports). Het USB event komt door het aankoppelen van de KVM die de server heeft. Als je een ISO zou mounten krijg je al zo'n melding in je console.

Bij SuperMicro's komt zo'n chassis-melding ook voor als je de server bijvoorbeeld een keer zou opstarten zonder de kap erop of een sensor die niet goed registreert dat de kap erop zit. Dat hoeft niets te zeggen over de *huidige* situatie van de server, enkel die in het verleden (wellicht wel maanden terug, als de error niet is gecleared blijft hij staan).

[Reactie gewijzigd door BHQ op 22 december 2014 13:57]

Mag de hostingspartij zomaar zijn account blokkeren? Daar moet toch meer over bekend zijn.
Je kan niet eenzijdig de afspraken opeens opschorten. Dus er moet meer aan de hand zijn.

Hij waarschuwt ook zijn diensten nu niet te gebruiken, dat betekent dat ze nog wel online zijn. Maar dus niet op alle mirrors. Ik neem dus aan dat het niet specifiek op hem is gericht, maar eerder op iemand die zijn diensten gebruikt.
Zijn overige e-mails lezende lijkt het er meer op dat iemand zijn hosting account heeft gekraakt waardoor hij er zelf niet meer in kon. Inmiddels heeft White weer volledige toegang. Het enige vreemde blijft dan nog de chassis en USB toegang.

Kennelijk heeft hij niet iemand die fysiek bij de server kan gaan kijken. Dat doet mij vermoeden dat het gehuurde dedicated servers zijn. Misschien heeft het hostingbedrijf een foutje gemaakt (verkeerde server opengetrokken) en hebben ze dat proberen te verdoezelen.
Iemand doet er toch een USBstick in, dat weet de hostprovider dan toch, die moet die Iemand binnen laten.
Zou netjes zijn kweet niet pcies hoedat werkt dat die provider diegene informeert wat er gebeurt is.
Niet perse. Zo'n USB event vind plaats wanneer een apparaat zich aanmeld op de USB bus. Het daadwerkelijk fysiek insteken van een USB stekker wordt niet geregistreerd. In theorie kan het een apparaat zijn wat er al tijden lang in zat maar niet actief was. Zelfs een eenvoudige kabelbreuk in een USB kabeltje zou dit kunnen veroorzaken.
Hier was al voor gewaarschuwd... Maar ik ben toch wel heel benieuwd wat hier achter steekt. Goed dat men aangeeft niet te weten of het een politie inval is, maar dat betekent dus dat een ander mogelijk fysiek toegang tot het systeem heeft gekregen. Ik ben toch wel heel benieuwd wie en waarom.
Dit soort practijken zal alleen maar leiden naar nog moeilijker aan te pakken netwerken die gebaseerd zijn op P2P systeemen en diepere incryptie. In principe is dat goed. Ik begrijp dat Tor door zijn annonimiteit echt wel gebruik zal worden door de criminaliteit maar het is belangrijk dat er iig een soort van middel is waar mensen veilig kunnen zijn tegen de overheid als zij bijvoorbeeld klokkenluider zijn of opkomen voor mensenrechten daar waar er een tekort aan is. Helaas betekend dit ook dat het netwerk zal worden gebruikt door criminelen met minder nobele doelen.
Tor netwerk analyseert zelf jouw gegevens. Nog erger dan "bloot" op het internet te gaan. 8)7
Dat is nieuw voor mij, heb je daar wat toelichting bij?
Het feit dat iemand zo een netwerk gebruikt is meestal een teken dat je iets te verbergen hebt. Er zijn tal van geruchten, artikels en meer van hacks, bugs, leaks op het tor netwerk.
Jij bent zeker ook zo'n iemand die het gebruik van Antivirus software onnodig/overbodig vind? ;)

Iedere individu die over een portie gezond verstand beschikt heeft wel iets te verbergen.

Juist in een tijd als deze waar steeds meer elektronische apparaten met elkaar en/of het internet in verbinding staan en mogelijk privacy gevoelige data "lekken" moet je dingen kunnen beveiligen en beschermen.

Er zijn niet alleen mensen met goede bedoelingen op internet actief... maar dat geldt natuurlijk ook voor hetgeen dat om ons heen gebeurd.

[Reactie gewijzigd door born4trance op 23 december 2014 05:30]

Het gaat meestal totaal niet om verbergen, maar dat het andere mensen niets aangaat.

Daarnaast maak je met TOR een beveiligingslayer aan op je verbinding, dat kan belangrijk en erg handig zijn, zeker op publieke netwerken.

En tja, overal op de wereld vind je wel een vorm van criminaliteit, dus daar maak je ook geen gebruik van...? Oh wacht...
Die waren er snel bij...

Op dit item kan niet meer gereageerd worden.


OnePlus 7 Pro (8GB intern) Microsoft Xbox One S All-Digital Edition LG OLED C9 Google Pixel 3a XL FIFA 19 Samsung Galaxy S10 Sony PlayStation 5 Consoles

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True